Tür­kei: Anpas­sung an die DSGVO; Mel­de­pflicht für TK-SCC

Das Tür­ki­sche Daten­schutz­recht ist vor allem im “Gesetz zum Schutz Per­so­nen­be­zo­ge­ner Daten” (Gesetz Nr. 6698) ver­fasst. Im März 2024 wur­de das Gesetz umfas­send revi­diert, u.a. um es an die DSGVO anzu­glei­chen. Die Anpas­sun­gen betref­fen u.a. die Über­mitt­lung von Per­so­nen­da­ten aus der Tür­kei in ande­re Staa­ten. Eine sol­che Über­mitt­lung ist zulässig

  • in Län­der mit einem Ange­mes­sen­heits­be­schluss (eine Liste ist noch nicht ver­füg­bar; Ange­mes­sen­heits­ent­schei­dun­gen wer­den aber im Amts­blatt zu ver­öf­fent­li­chen sein);
  • auf Basis geeig­ne­ter Garan­tien wie Stan­dard­ver­trä­ge oder BCR (zu letz­te­ren wur­den Leit­li­ni­en veröffentlicht);
  • in bestimm­ten Aus­nah­me­fäl­len (im Wesent­li­chen Art. 17 DSG bzw. Art. 49 DSGVO entsprechend).

Die Stan­dard­ver­trä­ge der Tür­ki­schen Daten­schutz­auf­sichts­be­hör­de (der KVKK; “TK-SCC”) sind im Auf­bau fast iden­tisch mit den SCC der EU-Kom­mis­si­on. Sie ver­wen­den eben­falls die bekann­ten vier Modu­le, aller­dings jeweils als eige­ner Ver­trag. Es bestehen aber diver­se Unter­schie­de, wes­halb die EU-SCC nicht für Expor­te aus der Tür­kei ver­wen­det wer­den kön­nen. Anders als nach altem Recht muss die Ver­wen­dung der tür­ki­schen SCC nicht mehr von der Auf­sichts­be­hör­de geneh­migt wer­den. Sie muss ihr aber inner­halb von fünf Tagen nach Abschluss gemel­det wer­den; andern­falls ist eine Bus­se mög­lich. Auch die der Bei­trtt, die Ände­rung und die Been­di­gung der TK-SCC sind meldepflichtig.

Die Ände­run­gen sind am 1. Juni 2024 in Kraft getre­ten. Bestehen­de Rege­lun­gen zum Daten­trans­fer blie­ben bis am 1. Sep­tem­ber 2024 gül­tig, sind inzwi­schen aber ver­fal­len – das gilt offen­bar auch für die aus­drück­li­che Ein­wil­li­gung, die bis­her eine stär­ke­re Grund­la­ge für Über­mitt­lun­gen ins Aus­land waren. Impor­teu­re ausser­halb der Tür­kei wur­den und wer­den ent­spre­chend von tür­ki­schen Dienst­lei­stern und ande­ren Expor­teu­ren auf­ge­for­dert, die TK-SCC abzu­schlie­ssen. Anzu­pas­sen sind auch Intra­group Data Transfer/Data Pro­tec­tion Agree­ments (IGDTA; IDPA).

Eine wei­te­re Ände­rung betrifft die Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten (wobei die Defi­ni­ti­on mehr oder weni­ger jener der DSGVO ent­spricht, aber wei­ter gefasst ist – auch Anga­ben über Klei­dung oder Aus­se­hen oder die Mit­glied­schaft in einem Ver­ein oder einer Stif­tung sind erfasst). Nach altem Recht war in der Regel eine aus­drück­li­che Ein­wil­li­gung erfor­der­lich; neu genügt ins­be­son­de­re die gesetz­li­che Pflicht zur Bear­bei­tung, und die Bear­bei­tung durch Stif­tun­gen, Ver­ei­ne und NGOs wur­de erleichtert.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter